Hoy analizamos una de las principales herramientas con las que Apple protege nuestra Mac, se llama XProtect y es el primer filtro de seguridad importante para OS X.
En los últimos meses, Apple ha bloqueado versiones inseguras de Java y Flash para sistemas OS X, por lo que las versiones anteriores de Java y Flash de repente ya no funcionan. A veces, el desarrollador del software debe emitir una corrección de errores, y el usuario debe actualizar el software utilizado para la última versión.
La cuarentena de archivos es una característica introducida en Snow Leopard: cuando descarga un archivo potencialmente peligroso usando una aplicación como un navegador o correo electrónico, el sistema operativo le avisará y le preguntará si realmente desea abrirlo. En Snow Leopard, la cuarentena se ha ampliado para buscar troyanos gracias a la tecnología XProtect para escanear el malware conocido. La lista de troyanos reconocidos se ha ampliado muchas veces y las nuevas definiciones de malware se descargan todos los días, si están disponibles. Si intenta abrir un archivo en cuarentena que en realidad es un troyano, recibirá una alerta.
Qué es y cómo funciona XProtect
Aquí hay una descripción general de este mecanismo de protección.
XProtect comprueba cada descarga de archivos potencialmente maliciosos, las definiciones de malware se actualizan con la actualización normal del software del sistema OS X. Recientemente, Apple ha lanzado una actualización para el marco XProtect para que pueda verificar las actualizaciones directamente en sí mismo, en este Apple puede reaccionar más rápidamente a amenazas potenciales: cuando el malware se propaga, el tiempo de reacción (como el antivirus) es crucial.
Este mecanismo se controla con el archivo XProtect.plist. ubicado en la siguiente ubicación:
Sistema> Biblioteca> CoreServices> CoreType.bundle> Contents> Resources. También puede ver el archivo XProtect.meta.plist, en este archivo puede encontrar el número de versión, esto se usa para verificar si se necesita una actualización. Aquí también puede encontrar si un software ha sido bloqueado y puesto en cuarentena.
Cuando abre el archivo XProtect.meta.plist con un editor de texto, puede cambiar el valor de la cadena de un software bloqueado para que se puedan usar versiones anteriores del software. Tenga en cuenta que si un archivo está bloqueado, probablemente haya una buena razón.
Puede activar la función de actualización automática de XProtect en la siguiente ruta: Preferencias> Seguridad> General> Avanzado. Aquí puede elegir activar la función de actualización automática. Si desea forzar una actualización manual de las definiciones, puede ejecutar el siguiente comando en una terminal:
sudo launchctl com.apple.xprotectupdater.
Apple ha dado varios pasos adelante y ha mejorado XProtect después de los recientes casos generalizados de malware, pero es necesario recordar el hecho de que no es un sustituto de un buen antivirus.
Especialmente cuando utilizo programas de igual a igual, uso compartido de archivos y torrents, que son uno de los vectores de malware más grandes, recomiendo probar la función de cuarentena.
En Mountain Lion (OS X 10.8), Apple agregó Gatekeeper, que proporciona una forma de limitar qué aplicaciones se pueden ejecutar en función de la firma en el código; es un método por el cual un desarrollador utiliza un certificado de seguridad emitido por Apple para firmar su aplicación y una aplicación firmada no puede modificarse sin romper la firma.
La exploración de productos antivirus reacciona mucho más rápido de lo que XProtect puede hacer. Para estar lo más seguro posible, sugiero usar XProtect en combinación con un producto antivirus.